Cyber meets BCM

Door 8 december 2014 BCM, Security, uit het nieuws Geen reacites

The Hack of the Decade,

Sony Pictures starring in a new motion picture directed by #GOP

Sony Pictures is gehacked.

Privégegevens van sterren en personeelsleden, waaronder salarissen en kopieën van paspoorten, kwamen op straat te liggen. Films die nog niet eens in de bioscoop zijn geweest, waren opeens volop te downloaden. Personeel kon dagen achtereen niet werken. De FBI is ingeroepen om te achterhalen wie er achter de groep ‘Guardians of Peace’ (#GOP) zit (Noord Korea? Boze oud-werknemers?). De gevolgen zijn enorm en Sony had zijn antwoord op de ellende niet onmiddellijk klaar.
 

Sony

Sony

Alle media zijn er bovenop gesprongen, waarbij er vooral aandacht was voor de security en imago aspecten van deze cyberaanval. Het is duidelijk, goede security is nodig om te voorkomen dat er ingebroken wordt en er ongelukken gebeuren. De vraag is of je dat punt ooit met 100% zekerheid kunt halen, en of je het resterende risico kunt en moet afdekken met een goed Business Continuity Plan. Ik focus me daarbij op de werkplek, e-mail omgeving, etc., omdat ik zeer werd getroffen door de foto hiernaast (bron), op de deur van het Sony Pictures filiaal in Londen. Personeel is welkom op kantoor maar zal volledig onproductief zijn, want waar heb je je werkplek nou niet voor nodig?
 
Vanuit BCM perspectief is de vraag dus of er een antwoord is op een situatie waarop de volledige werkplekomgeving onbruikbaar is. En of een cyberaanval fundamenteel anders is dan andere, meer traditionele dreigingen.

Helpt een goede voorbereiding?

Als we aannemen dat Sony een goed draaiend Security en Continuity Management systeem heeft (ISMS / BCMS), dan mogen we ook aannemen dat de delen van de werkplek / kantooromgeving die voor kritieke diensten vitaal zijn, naar voren zijn gekomen in de Business Impact Analyse (BIA). Evenzo kunnen we aannemen dat onderzocht is wat tot uitval van deze omgevingen zou kunnen leiden in de Risk Assessment (RA). Traditioneel zullen daar zaken als brand, overstroming of stroomuitval uit zijn gekomen. Heel avontuurlijke organisaties hebben wellicht ook ‘virussen’ of andere elektronische dreigingen als een mogelijke oorzaak gezien.
Eenmaal op dit punt aangekomen zal er, als het risico groot genoeg is ingeschat, naar alternatieven zijn gezocht. Vroeger vertrouwden veel organisaties voor dit soort gevallen op werkplekuitwijk, of intern in de organisatie (tijdelijk werken vanuit een andere locatie), of extern bij specialistische leveranciers (link1, link2). Steeds meer organisaties gaan er echter vanuit dat de techniek die gebruikt wordt om mensen vanuit huis te laten werken ook gebruikt kan worden als hele locaties uitvallen.
De organisatie verwacht nu dat alle risico’s onder controle zijn.

Waarom ging het in dit geval dan toch mis?

Daarvoor moeten we naar een analyse van de FBI. Die heeft naar aanleiding van deze aanval een groot aantal organisaties gewaarschuwd voor deze zeer kwaadaardige aanval. Uit een openbaar rapport komen de volgende zaken naar voren:

  • De aanval vindt plaats door gebruik te maken van de beheeromgeving van corporate Windows installaties (Active Directory, Windows Management Interface, de update service, etc.). Het centrale zenuwstelsel van de desktopomgeving is dus niet meer te vertrouwen.
  • Op alle werkstations en servers is kwaadaardige software gedraaid die het systeem volledig onbruikbaar maakt. Het start ook niet meer op.
  • By implication is ook de e-mail, als ook de VPN omgeving, niet meer beschikbaar en niet meer te vertrouwen.

Sony sluit zijn VPN af. Hiermee vervalt meteen de ‘uitwijk’mogelijkheid om medewerkers vanuit huis te laten werken.
 
Blijft optie 2, externe werkplekuitwijk, over. Een andere locatie gebruiken binnen het bedrijf zelf zal niet werken, alle werkplekken zijn getroffen tenslotte. En of het inroepen van externe uitwijkfaciliteiten in dit geval succesvol kan zijn, hangt van een aantal factoren af. De werkstations zelf zullen wel opgetuigd kunnen worden. Als het werkstation image waarmee dit gebeurt niet al te oud is, zullen de werkstations zonder problemen ingespoeld kunnen worden. Maar daarmee heb je de gebruikersdata ‘nog niet terug’. Die moeten uit de centrale omgeving komen.
 
Maar deze centrale omgeving is mogelijk een ander verhaal. Een centrale omgeving in de uitwijklocatie mag in ieder geval niet online zijn geweest na een eventuele besmetting, anders is ook deze niet meer betrouwbaar. Veel uitwijkoplossingen zullen echter uitgaan van een schaduwomgeving op de uitwijklocatie, die gewoon online is en ‘meedraait’ in het normale managementproces en replicatieschema’s om maar zo min mogelijk dataverlies op te lopen.
Je moet dus in ieder geval beschikken over een offline backup van vóór de aanval. En deze periode kan behoorlijk lang zijn, afhankelijk van hoelang geleden de eerste inbraak heeft plaatsgevonden. Of een werkplek uitwijk nog zinvol is als je bijvoorbeeld één of meerdere maanden ‘terug in de tijd moet’, is dus de vraag. Een goede BIA zal het antwoord geven . . .

Cyber meets BCM

Een cyberaanval is dus iets anders dan een brand, overstroming, o.i.d.. Dan kun je er zonder meer van uitgaan dat de integriteit van je uitwijkomgeving in orde is, wat bij een cyberincident dus niet kan. Een cyberaanval hoort dus als een apart punt in risico- en dreigingsanalyses terug te komen. Het vereist een andere aanpak, en zal ook zeker geoefend moeten worden.
Cyber meets BCM, en dan niet in een film.

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.